[์ทจ์ฝ์ ] File Inclusion ์ทจ์ฝ์ : LFI (Local File Inclusion)
ยท
Study/WebHacking
LFI(Local File Inclusion) ์ทจ์ฝ์ ์ด๋? LFI๋ ๊ณต๊ฒฉ์๊ฐ ์น ์ ํ๋ฆฌ์ผ์ด์
์ ํตํด ์๋ฒ์ ํ์ผ์ ๋ถ๋ฌ์ค๊ฑฐ๋ ์คํํ ์ ์๊ฒ ํ๋ ๋ณด์ ์ทจ์ฝ์ ์ด๋ค. ์ด ์ทจ์ฝ์ ์ PHP์ ๊ฐ์ ์๋ฒ ์ธก ์คํฌ๋ฆฝํธ ์ธ์ด์์ ๋ฐ๊ฒฌ๋๋ฉฐ, ์ ํ๋ฆฌ์ผ์ด์
์ ์
๋ ฅ ๊ฒ์ฆ ๋ถ์กฑ์ผ๋ก ์ธํด ๋ฐ์ํ๋ค. ์ฃผ๋ก php ์ฝ๋์์์ include() ์ฌ์ฉ ์ input์ ๋ํ ์ ์ ํ ํํฐ๋ง์ด ์ด๋ฃจ์ด์ง์ง ์์ ๋ฐ์ํ๋ค. ๊ณต๊ฒฉ์๋ ์ด ์ทจ์ฝ์ ์ ์
์ฉํ์ฌ ์น ์๋ฒ์์ ๋ฏผ๊ฐํ ์ ๋ณด๋ฅผ ์ฝ๊ฑฐ๋, ๋ก์ปฌ ์คํฌ๋ฆฝํธ๋ฅผ ์คํํ์ฌ ๋ณด์์ ์ฐํํ๊ณ ์์คํ
์ ์์์ํฌ ์ ์๋ค. include($_GET['file'] . '.php'); ์ ์ฝ๋๋ ์ฌ์ฉ์ ์
๋ ฅ($_GET['file'])์ ๊ฒ์ฆํ์ง ์๊ณ ํ์ผ์ includeํ๋ค. ์ด๋, ๊ณต๊ฒฉ์๊ฐ URL์ ์กฐ์ํ์ฌ ..